מומחי אבטחת מידע רבים טוענים שקל לפרוץ לבסיסי נתונים (בין אם ישירות ע"י גישה ל – DB ובין אם דרך אתרים). התקפות שונות כגון SQL Injection (הזרקת קוד SQL עוין) או Cross Site Scripting (התקפה המכונה XSS בה שותלים סקריפטים עוינים באתרים) מאפשרות התקפות על אתרים ובסיסי נתונים. ובאמת, ישנם הרבה מומחים ואתרים המוכיחים כמה קל לבצע התקפות כאלה ואחרות.
אינני מנסה לטעון שזה לא נכון וגם אינני יכול לטעון שמהערכות שלנו מאובטחות ב – 100%. אבל הנה חומר למחשבה:
שני מומחים בתחום בסיסי נתונים ניסו להוכיח כמה קל לשנות הרשאות של משתמש מנמוכות לגבוהות וכמה קל לנצל פרצות ידועות בבסיס הנתונים. הם קיבלו גישה ישירה ל – DB פנימי (ברמת SQL) שאינו מאובטח באופן מושלם, והם לא היו צריכים לחדור לרשת ולגלות את בסיסי הנתונים ברשת. במשך יומיים (לא מלאים) הם ניסו התקפות שונות וניסו למצוא שירותים פגיעים. רק לאחר יומיים הם הצליחו לנצל פרצה ידועה כדי להעלות הרשאות (Privilege Escalation).
אז אומנם המון ידע על ניצול פרצות זמין באינטרנט וישנם מומחים והאקרים רבים בשוק, אבל גם אז לא תמיד קל לנצל אותן. תוסיפו על זה שכבות הגנה כגון מניעת חיבור מחשבים של אורחים לרשת ומחשבי חברה מוגנים בסיסמאות ופתאום זה הרבה יותר קשה. בנוסף כאשר מערכות מסוימות אינן נגישות מהאינטרנט בכלל, האתגר להאקר המקצועי (כי החובב בנקודת זמן זו מחוץ למשחק) יצריך ממנו השקעת משאבים רבים.
תגובות אחרונות